Три Трояна! (в services и drivers)

[Ларисса]

Здравствуйте!

Я провела проверку ПК антивирусниками:
1) AVPtool
2) DrWeb CureIt
нашлись обеими прогами трояны
Backdoor.IRC.Itan (в винде в проге services.exe)
Trojan.Win32.Buzus.aspx (там же)
Worm.Win32.Autorun.ezt (в system32/drivers/sysdrv32.sys) как Tool TcpZ
удалять побоялась, т.к. эти службы необходимы ОС, а лечению не подлежат. Что делать, спасите.
Пока выражается так: IE 6.0 зависает, страницы в Интернете открыв.плохо, если вообще открываются.

[Bratez]

эти службы необходимы ОС

Эти - нет!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINXP\system32\drivers\sysdrv32.sys','');
 QuarantineFile('C:\WINXP\system\services.exe','');
 DeleteFile('C:\WINXP\system\services.exe');
 DeleteFile('C:\WINXP\system32\drivers\sysdrv32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=48091).
Обновите базы AVZ и сделайте новые логи.

[Ларисса]

Bratez,
всё сделала, как говорили, - огромное спасибо за помощь.
Карантин выслала (загрузила),
логи обновила.

Добавлено через 7 минут

ещё маленький вопрос, надеюсь, в тему:
как убрать доступ - AVZ обнаружил
"Безопасность:к ПК разрешен доступ анонимного пользователя"?

Добавлено через 27 минут

Сейчас сделала проверку Dr.Web CureIt, прога нашла вирусы:
x[1] C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\SR63C9WD BackDoor.IRC.Itan Удален.

x[1] C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\012B03KT BackDoor.IRC.Itan

valuwdaa[1].gif C:\Documents and Settings\NetworkService.NT AUTHORITY.000\Local Settings\Temporary Internet Files\Content.IE5\4H6BQ1QV Win32.HLLW.Autoruner.5555 Удален.

Добавлено через 58 секунд

[pig]

как убрать доступ - AVZ обнаружил
"Безопасность:к ПК разрешен доступ анонимного пользователя"?

Машина в локальной сети? Если да, то таким образом уберёте доступ к ней вообще для всех.

[Ларисса]

Вы имеете в виду, что я не смогу сама пользоваться Интернетом, тогда пусть будет; а локальными ресурсами я не пользуюсь.

[thyrex]

Сами Вы сможете пользоваться Интернетом, не волнуйтесь.

[Ларисса]

М-мм, тогда я бы убрала лок.доступ, а как это делается?

(Что с логами?)

[Bratez]

В логах все нормально.

Пофиксите это в HijackThis:

Код:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: is-NL42I.lnk = ?

И вот вам скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
end.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\winxp\system\services.exe - Trojan.Win32.Buzus.aspx ( DrWEB: BackDoor.IRC.Itan, BitDefender: Trojan.Generic.1617635 )
  2. c:\winxp\system32\drivers\sysdrv32.sys - Worm.Win32.AutoRun.ftp ( DrWEB: Tool.TcpZ, BitDefender: Rootkit.17518 )